Deze zelfstudie laat u zien hoe u de vergrendeling van de groepsbeleidsapplicatie configureert op de Windows 2012-server.
Deze tutorial laat je zien hoe je alle installatie of uitvoering van applicaties kunt blokkeren.
In deze zelfstudie leert u hoe u een specifieke toepassing kunt laten uitvoeren.
Dit zal uw computeromgeving helpen voldoen aan internationale informatiebeveiligingscertificeringen zoals ISO 27001.
De domeincontroller draait Windows 2012 R2.
Op de domeincomputers wordt Windows 7 en Windows 10 uitgevoerd.
Applicatieblokkering werkt op Windows Enterprise of Ultimate Edition.
Applicatieblokkering werkt niet op Windows Professional Edition.
Hardware lijst:
In het volgende gedeelte wordt de lijst met apparaten weergegeven die zijn gebruikt om deze Windows-zelfstudie te maken.
Elk onderdeel van de hierboven genoemde hardware is te vinden op de Amazon-website.
Windows Playlist:
Op deze pagina bieden we snelle toegang tot een lijst met video’s gerelateerd aan Windows.
Vergeet niet je te abonneren op ons YouTube-kanaal met de naam FKIT.
Windows gerelateerde zelfstudie:
Op deze pagina bieden we snelle toegang tot een lijst met handleidingen met betrekking tot Windows.
Tutorial – De Application Locker GPO maken
De volgende taken zijn uitgevoerd op een domeincontroller met Windows 2012 R2 met Active Directory.
Klik op het menu Start, zoek en open de tool Groepsbeleidsbeheer.
Zoek in het scherm Group Policy Management de map met de naam Group Policy Objects.
Klik met de rechtermuisknop op de groepsbeleidsobjecten map en selecteer de optie Nieuw.
Voer een naam in voor uw nieuwe beleid.
In ons voorbeeld kreeg het nieuwe groepsbeleidsobject de naam: SOFTWAREBELEID.
Vouw op het scherm Group Policy Management de map met de naam Group Policy Objects uit.
Klik met de rechtermuisknop op uw nieuwe groepsbeleidsobject en selecteer de optie Bewerken.
Op het scherm van de groepsbeleid-editor wordt u gepresenteerd aan gebruikersconfiguraties en computerconfiguraties.
We zullen alleen de computerconfiguraties veranderen.
We hoeven geen enkele gebruikersconfiguratie te veranderen.
Allereerst moeten we de Windows-service met de naam Application Identity configureren om automatisch te starten.
Vouw op het scherm van de groepsbeleid-editor de map Computerconfiguratie uit en zoek het volgende item.
• Computerconfiguratie> Windows-instellingen> Beveiligingsinstellingen> Systeemservices
Aan de rechterkant wordt de lijst met beschikbare services voor Windows gepresenteerd.
Dubbelklik op het configuratie-item Application Identity.
Op het scherm met het configuratiemenu moet u de optie Automatisch selecteren.
Om ervoor te zorgen dat het Application Locker werkt, moeten de domeincomputers de Application Identification-service hebben.
Tutorial – Configuratie van de Application Locker GPO
Vouw op het scherm van de groepsbeleid-editor de map Computerconfiguratie uit en zoek het volgende item.
• Computerconfiguratie> Windows-instellingen> Beveiligingsinstellingen> Toepassingscontrolebeleid> AppLocker
Aan de rechterkant worden de configuratie-items weergegeven die beschikbaar zijn voor het beleid Application Locker.
Klik op het configuratie-item met de naam Regelhandhaving configureren.
Het Applocker-eigenschappenvenster zal worden gepresenteerd.
Schakel de Uitvoerbare regels in en selecteer de optie Regels afdwingen.
Schakel de Windows Installer-regels in en selecteer de optie Regels afdwingen.
Schakel de Packaged App-regels in en selecteer de optie Regels afdwingen.
Klik op de knop OK.
Vervolgens moeten we de standaard softwareregels maken.
Klik met de rechtermuisknop op het beleid voor uitvoerbare bestanden en selecteer de optie Standaardregels maken.
Om het maken van het groepsbeleid te voltooien, moet u het venster Groepsbeleidseditor sluiten.
Alleen als u het groepsbeleidsvenster sluit, slaat het systeem uw configuratie op.
De uitvoerbare standaardregels vermelden het volgende:
Elk EXE-bestand in de Windows-map mag worden uitgevoerd.
Elk EXE-bestand in de map Programmabestanden mag worden uitgevoerd.
De leden van de groep Administrators mogen elk EXE-bestand uitvoeren.
Als u een andere toepassing wilt autoriseren, klikt u met de rechtermuisknop op de Uitvoerbare regels en selecteert u de optie Nieuwe regel maken.
Klik met de rechtermuisknop op de regels van het Windows-installatieprogramma en selecteer de optie Standaardregels maken.
Als u een andere toepassing wilt autoriseren, klikt u met de rechtermuisknop op de Windows-installatieregels en selecteert u de optie Nieuwe regel maken.
Klik met de rechtermuisknop op de regels van de Pakket-app en selecteer de optie Standaardregels maken.
Om het maken van het groepsbeleid te voltooien, moet u het venster Groepsbeleidseditor sluiten.
Alleen als u het groepsbeleidsvenster sluit, slaat het systeem uw configuratie op.
Tutorial – Toepassing van de Application Locker GPO
U bent klaar met het maken van het toepassingslocker-GPO.
Maar u moet nog steeds het gebruik van uw nieuwe groepsbeleid inschakelen.
Klik in het scherm Groepsbeleidsbeheer met de rechtermuisknop op de gewenste organisatie-eenheid en selecteer de optie om een bestaande groepsbeleidsobject te koppelen.
In ons voorbeeld gaan we het groepsbeleid met de naam SOFTWAREBELEID koppelen aan de hoofdmap van ons domein TECH.LOCAL.
Na het toepassen van de GPO moet u 10 of 20 minuten wachten.
Gedurende deze tijd wordt het groepsbeleidsobject gerepliceerd naar andere domeincontrollers die u mogelijk heeft.
Na 20 minuten te hebben gewacht, moet u de computer van een gebruiker opnieuw opstarten.
Tijdens het opstarten ontvangt en past de computer een kopie van het nieuwe groepsbeleid toe.
Om de configuratie te testen, moet u inloggen op een domeincomputer, software downloaden en proberen het uit te voeren.
Uw computer moet automatisch elke toepassing blokkeren die niet specifiek is toegestaan in het GPO om te worden uitgevoerd.